Résumé
Cet article présente un état de l'art des attaques de type Cross-Site Request Forgery et les nouvelles techniques pouvant être utilisées par des attaquants pour les réaliser de façon efficace. Plusieurs scénarios d'attaque sur des applications Web grand public sont expliqués ainsi qu'une vulnérabilité, présente dans la plupart des navigateurs Web récents. Cette vulnérabilité permet de réaliser des attaques de type Cross-Site Request Forgery efficaces à l'aide de l'objet XMLHttpRequest. De plus, une technique inédite, permettant d'assurer la persistance du code hostile sur la machine, même après la fermeture de la fenêtre du navigateur est présentée. Enfin, les meilleures solutions pour se prémunir de ces attaques sont discutées pour permettre à chacun (utilisateurs, développeurs de navigateurs ou d'applications Web, responsables de la sécurité des systèmes d'informations dans une organisation, etc...) de contribuer à l'éradication de cette menace.
Introduction
Les attaques de type Cross Site Request Forgery
- Une attaque simple
- Une attaque dangereuse
- Une attaque méconnue
Evolution des attaques sur les navigateurs Web récents
- Les attaques historiques par GET et POST : plus efficaces encore avec Javascript
- Les possibilités d'attaques par les plugins des navigateurs
- Les requêtes XMLHttpRequest : de nouvelles opportunités pour les attaques de types CSRF
Les attaques de type CSRF en pratique
- Le contrôle dynamique des attaques de type CSRF : présentation de l'outil CSRF-proxy
- La problématique de la conservation du code hostile
Les protections contres les attaques de type CSRF
- La sensibilisation des utilisateurs
- Le renforcement des restrictions au niveau des navigateurs Web
- La prise en compte de la menace dans les applications Web
Conclusion
![[Présentation]](/gif/icone.supports.png){kind=small}
]
![[Article]](/gif/icone.articles.png){kind=small}
![[Outil]](/gif/icone.outils.png){kind=small}
]
![[Brève]](/gif/icone.breves.png){kind=small}